全部 - 文章 - 第21页 - 奇安信攻防社区

某众测前端解密学习记录

某次大型金融公司众测,抓包发现都是加密数据,经过Jsrpc与autoDecoder学习调试后,最后也是成功还原数据包,挖掘出高危漏洞。分享经验，希望对大家有所帮助。

14
13
lei_sec
发布于 2024-04-15 10:13:29
阅读 ( 7530 )

Java安全 - ROME链

再看看ROME呗

0
0
Zacky
发布于 2024-04-15 10:10:13
阅读 ( 14032 )

CVE-2023-44974 emlog CMS任意文件上传漏洞分析

0
2
Myan
发布于 2024-04-15 09:39:26
阅读 ( 13147 )

代码审计入门篇-CVE-2018-14399

小白的代码审计入门!如果有误望大佬们帮忙指正:D

0
1
p1ng
发布于 2024-04-12 10:00:01
阅读 ( 12671 )

BYOVD是`Bring Your Own Vulnerable Driver`的缩写，是一种对抗性技术，攻击者将易受攻击的合法驱动程序植入目标系统。然后，他们利用易受攻击的驱动程序执行恶意操作。由于合法签名的驱动程序受安全软件信任，因此它们既不会被标记也不会被阻止。此外，BYOVD 攻击中涉及的驱动程序通常是内核模式驱动程序。本文将以Gmer64.sys为例，来分析该驱动的漏洞利用和实现一个C#程序进行杀软进程关闭，

2
0
10cks
发布于 2024-04-12 09:00:02
阅读 ( 6864 )

Java安全 - FreeMarker模版注入浅析

再学学SSTI

1
0
Zacky
发布于 2024-04-11 10:00:02
阅读 ( 5473 )

三种针对JSON Web Tokens的新攻击方式

本文是笔者阅读BLACK HAT-2023中《Three New Attacks Against JSON Web Tokens》这篇paper学习后所写的笔记，涉及到相关的原理知识、3种新的JWT攻击姿势和复现过程。

3
2
fengsec
发布于 2024-04-11 09:37:29
阅读 ( 4470 )

Jersey参数处理过程与常见风险

Jersey是一个开源的RESTful Web服务框架，它实现了JAX-RS规范（JAX-RS是Java API for RESTful Web Services的简称，它是Java EE的一个规范，提供了一组用于创建RESTful Web服务的API。）中定义的API，并提供了许多额外的特性和工具来简化RESTful Web服务的开发。浅谈其参数处理过程。

0
0
tkswifty
发布于 2024-04-11 09:36:30
阅读 ( 4093 )

Java安全 - Learning Vaadin Gadget From CTF

转载

1
0
Zacky
发布于 2024-04-10 10:08:47
阅读 ( 4028 )

记某次AWDP的坎坷之旅

转载

0
0
Zacky
发布于 2024-04-10 10:00:01
阅读 ( 4997 )

U8cloud base64 SQL注入漏洞分析

U8cloud base64 SQL注入漏洞分析，真的是file/upload/base64导致的SQL注入吗？

0
1
So4ms
发布于 2024-04-10 09:39:54
阅读 ( 13732 )

再谈强网ThinkShop

CTF真有趣

0
0
Zacky
发布于 2024-04-09 10:00:00
阅读 ( 4163 )

万字总结护网知识(基础知识,top10漏洞,应急响应,设备知识,挖矿总结,内网知识)

119
70
xhys
发布于 2024-04-09 09:48:11
阅读 ( 23418 )

Java安全 - FastJson系列详解

再学学Fastjson呗

4
1
Zacky
发布于 2024-04-08 10:00:01
阅读 ( 15503 )

Java安全 - CommonsCollections链全系列详解

再回顾回顾CC系列吧

1
0
Zacky
发布于 2024-04-08 09:50:05
阅读 ( 14023 )

Spring WebFlux参数处理过程与Content-type绕过浅析

Spring WebFlux是Spring Framework提供的用于构建响应式Web应用的模块，基于Reactive编程模型实现。它使用了Reactive Streams规范，并提供了一套响应式的Web编程模型，以便于处理高并发、高吞吐量的Web请求。本文主要分析Spring WebFlux在参数处理过程中是如何对Content-type进行处理的，以及跟Spring MVC的区别。

0
0
tkswifty
发布于 2024-04-08 09:42:02
阅读 ( 4444 )

NoSQL 从0到1（MongoDB and InfluxDB）

NoSQL 数据库以传统 SQL 关系表以外的格式存储和检索数据。它们旨在处理大量非结构化或半结构化数据。因此，它们通常比 SQL 具有更少的关系约束和一致性检查，并且在可扩展性、灵活性和性能方面具有显着的优势。但是本次不仅针对了mangodb的Nosql注入做了分析和靶场演示，并且加入了一个不常见的数据库influxfDb的注入方式，可在CTF中出类似的题目。总的来说，nosql注入是较为灵活的。

0
1
梦洛
发布于 2024-04-07 10:03:39
阅读 ( 5150 )

一次有趣的锐捷前台无条件RCE漏洞分析

本篇文章对锐捷前台无条件RCE漏洞进行细致分析和代码审计，带你一步步进入最高权限的天堂，感受CNVD满分漏洞的无穷魅力

1
3
新人小安
发布于 2024-04-07 10:00:01
阅读 ( 13657 )

Neshta样本分析

前段时间群里一位师傅开远程桌面暴露3389端口时被人打了，然后上传了一个勒索程序，并触发了，在该师傅一番抢救后留下了一个样本，丢到微步上看了看之前好像还没人提交，猜测应该是某种方式内...

1
2
秋分
发布于 2024-04-07 09:50:25
阅读 ( 6162 )

某oa代码审计

1
2
Whoisa
发布于 2024-04-03 10:00:00
阅读 ( 6468 )